Kiberməkanın vəhşi meşəsinin nizam-intizamçısı olan “qara papaqlılar” öz çirkin işlərində xüsusilə uğurlu olduqları üzə çıxanda sarı media ləzzətlə qışqırır. Nəticədə dünya kibertəhlükəsizliyə daha ciddi baxmağa başlayır. Ancaq təəssüf ki, dərhal deyil. Buna görə də, fəlakətli kiber insidentlərin sayının artmasına baxmayaraq, dünya hələ aktiv fəal tədbirlər üçün yetişməyib. Bununla belə, yaxın gələcəkdə “qara papaqlar” sayəsində dünyanın kibertəhlükəsizliyə ciddi yanaşmağa başlayacağı gözlənilir. [7]

Yanğınlar qədər ciddi... Şəhərlər bir vaxtlar fəlakətli yanğınlara qarşı çox həssas idi. Bununla belə, potensial təhlükəyə baxmayaraq, fəal qoruyucu tədbirlər görülmədi - 1871-ci ildə Çikaqoda yüzlərlə insanın ölümünə və yüz minlərlə insanın didərgin düşməsinə səbəb olan nəhəng yanğından sonra belə. Proaktiv qoruyucu tədbirlər yalnız üç il sonra oxşar fəlakət təkrar baş verdikdən sonra görüldü. Kibertəhlükəsizliklə də eynidir - fəlakətli hadisələr baş verməsə, dünya bu problemi həll etməyəcək. Amma belə hadisələr baş versə belə, dünya bu problemi dərhal həll etməyəcək. [7] Buna görə də: “Bəs olana qədər insana yamaq olmaz” deyimi də tam işləmir. Buna görə də 2018-ci ildə biz 30 illiyi tüğyan edən etibarsızlığı qeyd etdik.

Lirik cəza

Əvvəlcə System Administrator jurnalı üçün yazdığım bu məqalənin başlanğıcı müəyyən mənada peyğəmbərlik oldu. Bu məqalə ilə jurnalın buraxılışı çıxdı Kemerovodakı "Qış albalısı" ticarət mərkəzində baş verən faciəli yanğınla sözün hər günü (2018, 20 mart).

İnterneti 30 dəqiqəyə quraşdırın

Hələ 1988-ci ildə əfsanəvi haker qalaktikası L0pht, ən nüfuzlu Qərb rəsmilərinin görüşündən əvvəl tam şəkildə çıxış edərək demişdi: “Kompüterləşdirilmiş avadanlıqlarınız İnternetdən kiberhücumlara qarşı həssasdır. Və proqram təminatı, aparat və telekommunikasiya. Onların satıcılarını bu vəziyyət heç də narahat etmir. Çünki müasir qanunvericilik istehsal olunan proqram və texniki vasitələrin kibertəhlükəsizliyinin təmin edilməsinə səhlənkar yanaşmaya görə heç bir məsuliyyət nəzərdə tutmur. Potensial nasazlıqlara görə (istər kortəbii, istərsə də kibercinayətkarların müdaxiləsi nəticəsində) məsuliyyət yalnız avadanlığın istifadəçisinin üzərinə düşür. Federal hökumətə gəlincə, onun bu problemi həll etmək üçün nə bacarığı, nə də istəyi var. Buna görə də, əgər siz kibertəhlükəsizlik axtarırsınızsa, onda İnternet onu tapmaq üçün yer deyil. Qarşınızda oturan yeddi nəfərin hər biri interneti tamamilə sındıra və müvafiq olaraq ona qoşulmuş avadanlıq üzərində tam nəzarəti ələ keçirə bilər. Özündən. 30 dəqiqəlik xoreoqrafiya düymələri və bu, tamamlandı." [7]

Məmurlar mənalı şəkildə başlarını tərpətdi, vəziyyətin ciddiliyini başa düşdüklərini, lakin heç nə etmədiklərini bildirdilər. Bu gün, L30pht-ın əfsanəvi çıxışından düz 0 il keçsə də, dünya hələ də "tükənmiş etibarsızlıq" ilə üzləşir. Kompüterləşdirilmiş, İnternetə qoşulmuş avadanlıqları sındırmaq o qədər asandır ki, əvvəlcə idealist elm adamları və həvəskarlar krallığı olan İnternet tədricən peşəkarların ən praqmatikləri: fırıldaqçılar, fırıldaqçılar, casuslar, terrorçular tərəfindən işğal edildi. Onların hamısı kompüterləşdirilmiş avadanlığın zəif yerlərindən maliyyə və ya digər faydalar üçün istifadə edirlər. [7]

Satıcılar kibertəhlükəsizliyə məhəl qoymurlar

Satıcılar bəzən, əlbəttə ki, müəyyən edilmiş bəzi zəiflikləri düzəltməyə çalışırlar, lakin bunu çox istəksiz edirlər. Çünki onların qazancı hakerlərdən qorunmaqdan deyil, istehlakçılara təqdim etdikləri yeni funksionallıqdan gəlir. Yalnız qısamüddətli mənfəətə diqqət yetirən satıcılar pulu hipotetik deyil, yalnız real problemlərin həllinə yatırırlar. Onların bir çoxunun nəzərində kibertəhlükəsizlik hipotetik bir şeydir. [7]

Kibertəhlükəsizlik görünməz, qeyri-maddi bir şeydir. Yalnız onunla bağlı problemlər yarandıqda hiss olunur. Əgər ona yaxşı baxıblarsa (onun təminatına çoxlu pul xərcləyiblər) və bununla bağlı heç bir problem yoxdursa, son istehlakçı bunun üçün artıq pul ödəmək istəməz. Bundan əlavə, maliyyə xərclərini artırmaqla yanaşı, qoruyucu tədbirlərin həyata keçirilməsi əlavə inkişaf vaxtı tələb edir, avadanlığın imkanlarının məhdudlaşdırılmasını tələb edir və onun məhsuldarlığının azalmasına səbəb olur. [8]

Son istehlakçıları bir yana qoyaq, hətta öz marketoloqlarımızı sadalanan xərclərin məqsədəuyğunluğuna inandırmaq çətindir. Müasir satıcılar yalnız qısamüddətli satış gəlirləri ilə maraqlandıqlarından, onlar heç də öz yaradıcılıqlarının kibertəhlükəsizliyini təmin etmək üçün məsuliyyət götürməyə meylli deyillər. [1] Digər tərəfdən, avadanlıqlarının kibertəhlükəsizliyinə diqqət yetirən daha diqqətli satıcılar korporativ istehlakçıların daha ucuz və istifadəsi asan alternativlərə üstünlük verməsi ilə üzləşirlər. Bu. Aydındır ki, korporativ istehlakçılar da kibertəhlükəsizliyə o qədər də əhəmiyyət vermirlər. [8]

Yuxarıda göstərilənlərin işığında, satıcıların kibertəhlükəsizliyə laqeyd yanaşmaları və aşağıdakı fəlsəfəyə riayət etmələri təəccüblü deyil: “İnşa etməyə davam edin, satışı davam etdirin və lazım olduqda yamaqlar edin. Sistem çökdü? İtirilmiş məlumat? Kredit kartı nömrələri olan verilənlər bazası oğurlanıb? Avadanlığınızda müəyyən edilmiş ölümcül zəifliklər varmı? Problem deyil!" İstehlakçılar da öz növbəsində “Yamaq və dua et” prinsipinə əməl etməlidirlər. [7]

Bu necə baş verir: vəhşi təbiətdən nümunələr

İnkişaf zamanı kibertəhlükəsizliyə laqeyd yanaşmağın bariz nümunəsi Microsoft-un korporativ təşviq proqramıdır: “Əgər son tarixləri qaçırsanız, cərimələnəcəksiniz. Əgər innovasiyanızın buraxılışını vaxtında təqdim etməyə vaxtınız yoxdursa, o, həyata keçirilməyəcək. Əgər bu həyata keçirilməsə, siz şirkətin səhmlərini (Microsoft-un qazancından bir parça) almayacaqsınız”. 1993-cü ildən Microsoft öz məhsullarını internetlə aktiv şəkildə əlaqələndirməyə başladı. Bu təşəbbüs eyni motivasiya proqramına uyğun fəaliyyət göstərdiyindən funksionallıq müdafiənin ona çata bildiyindən daha sürətlə genişləndi. Praqmatik zəiflik ovçularının zövqünə... [7]

Başqa bir misal kompüter və noutbuklarla bağlı vəziyyətdir: onlar əvvəlcədən quraşdırılmış antivirusla gəlmir; və onlar həmçinin güclü parolların əvvəlcədən təyin edilməsini təmin etmirlər. Son istifadəçinin antivirusu quraşdıracağı və təhlükəsizlik konfiqurasiya parametrlərini təyin edəcəyi güman edilir. [1]

Digər, daha ekstremal nümunə: pərakəndə satış avadanlıqlarının kibertəhlükəsizliyi ilə bağlı vəziyyət (kassa aparatları, ticarət mərkəzləri üçün PoS terminallar və s.). Elə oldu ki, kommersiya avadanlığı satıcıları təhlükəsiz olanı yox, yalnız satılanları satırlar. [2] Əgər kommersiya avadanlığı satıcılarının kibertəhlükəsizlik baxımından əhəmiyyət verdiyi bir şey varsa, o, mübahisəli insident baş verərsə, məsuliyyətin başqalarının üzərinə düşdüyünə əmin olmaqdır. [3]

Hadisələrin bu inkişafının göstərici nümunəsi: bank marketoloqlarının səriştəli işi sayəsində texniki cəhətdən mürəkkəb olmayan ictimaiyyətin gözündə “köhnəlmiş”ə daha təhlükəsiz alternativ kimi görünən bank kartları üçün EMV standartının populyarlaşması. maqnit kartları. Eyni zamanda, EMV standartının hazırlanmasına cavabdeh olan bank sənayesinin əsas motivasiyası fırıldaq hadisələri (karderlərin təqsiri üzündən baş verən) üçün məsuliyyəti mağazalardan istehlakçılara keçirmək idi. Halbuki əvvəllər (ödənişlər maqnit kartlarla həyata keçirilərkən) debet/kreditdəki uyğunsuzluqlara görə maliyyə məsuliyyəti mağazalar üzərində idi. [3] Beləliklə ödənişləri emal edən banklar məsuliyyəti ya tacirlərə (uzaqdan bank sistemlərindən istifadə edənlər) və ya ödəniş kartlarını emissiya edən banklara verirlər; sonuncu ikisi, öz növbəsində, məsuliyyəti kart sahibinə keçir. [2]

Satıcılar kibertəhlükəsizliyə mane olurlar

Rəqəmsal hücum səthi qaçılmaz şəkildə genişləndikcə – İnternetə qoşulmuş cihazların partlaması sayəsində – korporativ şəbəkəyə qoşulanları izləmək getdikcə çətinləşir. Eyni zamanda satıcılar internetə qoşulmuş bütün avadanlığın təhlükəsizliyi ilə bağlı narahatlıqlarını son istifadəçiyə [1] köçürür: “Boğulan insanların xilası boğulanların özlərinin işidir”.

Satıcılar nəinki öz yaradıcılıqlarının kibertəhlükəsizliyinə əhəmiyyət vermirlər, hətta bəzi hallarda onun təminatına da müdaxilə edirlər. Məsələn, 2009-cu ildə Conficker şəbəkə qurdu Bet-İsrail Tibb Mərkəzinə sızaraq oradakı tibbi avadanlığın bir hissəsini yoluxduranda, bu tibb mərkəzinin texniki direktoru gələcəkdə oxşar hadisələrin baş verməsinin qarşısını almaq üçün cihazı söndürmək qərarına gəlib. şəbəkə ilə qurddan təsirlənən avadanlıqda əməliyyat dəstəyi funksiyası. Lakin o, “tənzimləyici məhdudiyyətlərə görə avadanlıqların yenilənə bilmədiyi” faktı ilə üzləşib. Şəbəkə funksiyalarını söndürmək üçün satıcı ilə danışıqlar aparmaq ona xeyli səy göstərdi. [4]

İnternetin Fundamental Kibertəhlükəsizliyi

Dahiliyi ilə ona "Albus Dambldor" ləqəbi qazandıran əfsanəvi MIT professoru Devid Klark internetin qaranlıq tərəfinin dünyaya açıldığı günü xatırlayır. Klark 1988-ci ilin noyabrında telekommunikasiya konfransına sədrlik edirdi, tarixdə ilk kompüter qurdunun şəbəkə naqillərindən keçdiyi xəbəri yayıldı. Klark bu anı ona görə xatırladı ki, onun konfransında iştirak edən məruzəçi (aparıcı telekommunikasiya şirkətlərindən birinin əməkdaşı) bu qurdun yayılmasına görə məsuliyyət daşıyırdı. Bu natiq, duyğuların hərarətində təsadüfən dedi: “Buyurun!” Mən deyəsən bu zəifliyi bağlamışam” deyə bu sözlərin əvəzini ödəyib. [5]

Lakin sonradan məlum oldu ki, sözügedən qurdun yayıldığı zəiflik heç bir fərdin ləyaqəti deyil. Və bu, ciddi şəkildə desək, hətta bir zəiflik deyil, İnternetin əsas xüsusiyyəti idi: İnternetin qurucuları, beyinlərini inkişaf etdirərkən, yalnız məlumat ötürmə sürətinə və səhvlərə dözümlülüyünə diqqət yetirdilər. Onlar qarşılarına kibertəhlükəsizliyi təmin etmək vəzifəsi qoymayıblar. [5]

Bu gün, İnternetin yaranmasından onilliklər keçdikdən sonra – kibertəhlükəsizliyə səmərəsiz cəhdlərə artıq xərclənmiş yüz milyardlarla dollarla – İnternet də az həssas deyil. Onun kibertəhlükəsizlik problemləri hər il daha da pisləşir. Ancaq buna görə internetin yaradıcılarını qınamağa haqqımız varmı? Axı, məsələn, heç kim sürətli yol inşaatçılarını “öz yollarında” qəzaların baş verdiyinə görə qınamayacaq; və heç kim şəhər planlaşdırıcılarını “şəhərlərində” oğurluqların baş verdiyinə görə qınamayacaq. [5]

Haker subkulturası necə yaranıb

Haker subkulturası 1960-cı illərin əvvəllərində “Dəmiryolunun Texniki Modelləşdirmə Klubu”nda (Massaçusets Texnologiya İnstitutunun divarları daxilində fəaliyyət göstərir) yaranmışdır. Klub həvəskarları o qədər böyük olan dəmir yolu modelini hazırlayıb yığdılar ki, o, bütün otağı doldurdu. Klub üzvləri kortəbii olaraq iki qrupa bölünür: sülhməramlılar və sistem mütəxəssisləri. [6]

Birincisi modelin yerüstü hissəsi ilə, ikincisi yeraltı ilə işləmişdir. Birincilər qatarların və şəhərlərin maketlərini toplayıb bəzədilər: miniatürdə bütün dünyanı modelləşdirdilər. Sonuncu bütün bu sülhməramlılıq üçün texniki dəstək üzərində işləmişdir: modelin yeraltı hissəsində yerləşən naqillərin, relelərin və koordinat açarlarının mürəkkəbliyi - "yerüstü" hissəni idarə edən və onu enerji ilə qidalandıran hər şey. [6]

Trafik problemi yarandıqda və kimsə onu düzəltmək üçün yeni və dahiyanə həll yolu tapdıqda, həll yolu “hack” adlanırdı. Klub üzvləri üçün yeni hack axtarışı həyatın daxili mənasına çevrilib. Buna görə də özlərini “haker” adlandırmağa başladılar. [6]

Birinci nəsil hakerlər Simulyasiya Dəmiryolu Klubunda əldə etdikləri bacarıqları perfokartlar üzərində kompüter proqramları yazmaqla həyata keçirmişlər. Daha sonra ARPANET (İnternetin sələfi) 1969-cu ildə kampusa gələndə hakerlər onun ən aktiv və bacarıqlı istifadəçiləri oldular. [6]

İndi, onilliklər sonra, müasir İnternet model dəmir yolunun çox "yeraltı" hissəsinə bənzəyir. Çünki onun təsisçiləri məhz həmin hakerlər, “Railroad Simulation Club”ın tələbələri idi. İndi simulyasiya edilmiş miniatürlər əvəzinə real şəhərləri yalnız hakerlər idarə edir. [6]

BGP marşrutlaşdırma necə yarandı

80-ci illərin sonunda İnternetə qoşulan cihazların sayının uçqun kimi artması nəticəsində İnternet əsas İnternet protokollarından birinə daxil edilmiş sərt riyazi həddə yaxınlaşdı. Ona görə də o dövrün mühəndisləri arasında hər hansı söhbət sonda bu problemin müzakirəsinə çevrilirdi. İki dost da istisna deyildi: Jacob Rechter (IBM-dən mühəndis) və Kirk Lockheed (Cisco-nun yaradıcısı). Nahar süfrəsi arxasında təsadüfən görüşərək internetin funksionallığını qorumaq üçün tədbirləri müzakirə etməyə başladılar. Dostlar əlinə nə gəldi - ketçupla boyanmış salfetdə yaranan fikirləri yazdı. Sonra ikincisi. Sonra üçüncü. İxtiraçılarının zarafatla adlandırdığı “üç salfet protokolu” – rəsmi dairələrdə BGP (Sərhəd Qapı Protokolu) kimi tanınan – tezliklə İnternetdə inqilab etdi. [8]

Rechter və Lockheed üçün BGP sadəcə olaraq, yuxarıda qeyd olunan Model Dəmiryol Klubunun ruhunda hazırlanmış təsadüfi bir hack idi, tezliklə əvəz olunacaq müvəqqəti həlldir. Dostlar 1989-cu ildə BGP hazırladılar. Bununla belə, bu gün, 30 il keçsə də, kibertəhlükəsizliyi ilə bağlı kritik problemlər barədə getdikcə daha çox həyəcan verici çağırışlara baxmayaraq, internet trafikinin əksəriyyəti hələ də “üç salfet protokolu”ndan istifadə etməklə yönləndirilir. Müvəqqəti hack əsas İnternet protokollarından birinə çevrildi və onun tərtibatçıları öz təcrübələrindən öyrəndilər ki, “müvəqqəti həllərdən daha daimi heç nə yoxdur”. [8]

Dünyadakı şəbəkələr BGP-yə keçdi. Nüfuzlu satıcılar, varlı müştərilər və telekommunikasiya şirkətləri tez bir zamanda BGP-yə aşiq oldular və ona öyrəşdilər. Buna görə də, bu protokolun etibarsızlığı ilə bağlı getdikcə daha çox həyəcan təbili çalmasına baxmayaraq, İT ictimaiyyəti hələ də yeni, daha təhlükəsiz avadanlıqlara keçid üçün həvəs göstərmir. [8]

Kibertəhlükəsiz BGP marşrutu

BGP marşrutlaşdırma niyə bu qədər yaxşıdır və İT icması niyə ondan imtina etməyə tələsmir? BGP, marşrutlaşdırıcılara kəsişən rabitə xətlərinin böyük bir şəbəkəsi üzrə göndərilən nəhəng məlumat axınlarını hara yönləndirmək barədə qərar qəbul etməyə kömək edir. Şəbəkənin daim dəyişməsinə və populyar marşrutlarda tez-tez tıxacların yaranmasına baxmayaraq, BGP marşrutlaşdırıcılara müvafiq yolları seçməyə kömək edir. Problem ondadır ki, İnternetin qlobal marşrut xəritəsi yoxdur. BGP-dən istifadə edən marşrutlaşdırıcılar kiberməkanda qonşulardan alınan məlumatlar əsasında bu və ya digər yolu seçmək barədə qərar qəbul edirlər, onlar da öz növbəsində qonşularından məlumat toplayır və s. Bununla belə, bu məlumat asanlıqla saxtalaşdırıla bilər, yəni BGP marşrutlaşdırma MiTM hücumlarına qarşı çox həssasdır. [8]

Buna görə də mütəmadi olaraq aşağıdakı kimi suallar yaranır: "Niyə Denverdə iki kompüter arasında trafik İslandiya vasitəsilə nəhəng bir yol keçdi?", "Niyə Pentaqonun məxfi məlumatları bir dəfə Pekindən tranzitlə ötürülüb?" Bu kimi suallara texniki cavablar var, lakin onların hamısı BGP-nin etimada əsaslanaraq işləməsi ilə nəticələnir: qonşu marşrutlaşdırıcılardan alınan tövsiyələrə etibar. BGP protokolunun etibarlı təbiəti sayəsində sirli trafik hakimləri, istəsələr, digər insanların məlumat axınlarını öz domenlərinə cəlb edə bilərlər. [8]

Canlı nümunə Çinin BGP-nin Amerika Pentaqonuna hücumudur. 2010-cu ilin aprel ayında dövlətə məxsus telekommunikasiya nəhəngi China Telecom bütün dünyaya on minlərlə marşrutlaşdırıcı, o cümlədən ABŞ-da 16 marşrutlaşdırıcı göndərdi, onlara daha yaxşı marşrutlara malik olduqlarını bildirən BGP mesajı. China Telecom-dan gələn BGP mesajının etibarlılığını yoxlaya biləcək bir sistem olmadan, dünya üzrə marşrutlaşdırıcılar Pekin vasitəsilə tranzit olaraq məlumat göndərməyə başladılar. O cümlədən Pentaqondan və ABŞ Müdafiə Nazirliyinin digər saytlarından gələn trafik. Trafikin marşrutunun dəyişdirilməsinin asanlığı və bu tip hücumlara qarşı effektiv müdafiənin olmaması BGP marşrutlaşdırmasının etibarsızlığının başqa bir əlamətidir. [8]

BGP protokolu nəzəri cəhətdən daha təhlükəli kiberhücuma qarşı həssasdır. Beynəlxalq konfliktlərin kiberməkanda tam gücü ilə kəskinləşməsi halında, China Telecom və ya hansısa digər telekommunikasiya nəhəngi İnternetin əslində ona aid olmayan hissələrinə sahiblik iddiası irəli sürə bilər. Belə bir hərəkət marşrutlaşdırıcıları çaşdıracaq, onlar eyni İnternet ünvan blokları üçün rəqabətli təkliflər arasında sıçrayış etməli olacaqlar. Qanuni tətbiqi saxta proqramdan ayırmaq qabiliyyəti olmasaydı, marşrutlaşdırıcılar qeyri-sabit hərəkət etməyə başlayacaqlar. Nəticə etibarı ilə, biz nüvə müharibəsinin internet ekvivalenti ilə – açıq, geniş miqyaslı düşmənçilik nümayişi ilə qarşılaşacaqdıq. Nisbi sülh dövründə belə bir inkişaf qeyri-real görünsə də, texniki cəhətdən bu, olduqca mümkündür. [8]

BGP-dən BGPSEC-ə keçmək üçün əbəs cəhd

BGP hazırlanarkən kibertəhlükəsizlik nəzərə alınmırdı, çünki o zaman hakerlər nadir hallarda olurdu və onlardan dəyən zərər cüzi idi. BGP tərtibatçıları, telekommunikasiya şirkətlərində işlədikləri və öz şəbəkə avadanlıqlarını satmaqda maraqlı olduqları üçün daha aktual bir vəzifə tutdular: İnternetin kortəbii nasazlığının qarşısını almaq. Çünki internetdə fasilələr istifadəçiləri özündən uzaqlaşdıra və bununla da şəbəkə avadanlıqlarının satışını azalda bilər. [8]

2010-cu ilin aprelində Pekin vasitəsilə Amerika hərbi trafikinin ötürülməsi ilə bağlı insidentdən sonra BGP marşrutlaşdırmasının kibertəhlükəsizliyini təmin etmək üçün işin tempi əlbəttə ki, sürətləndi. Bununla belə, telekommunikasiya satıcıları etibarsız BGP-nin əvəzi kimi təklif olunan yeni təhlükəsiz marşrutlaşdırma protokolu BGPSEC-ə keçidlə bağlı xərcləri ödəmək üçün çox az həvəs göstərdilər. Satıcılar, saysız-hesabsız trafikə müdaxilə hallarına baxmayaraq, hələ də BGP-ni olduqca məqbul hesab edirlər. [8]

1988-ci ildə (BGP-dən bir il əvvəl) başqa bir böyük şəbəkə protokolunu icad etdiyi üçün "İnternetin anası" adlandırılan Radia Perlman MIT-də peyğəmbərlik doktoru dissertasiyası qazandı. Perlman, kiberməkanda qonşuların dürüstlüyündən asılı olan marşrutlaşdırma protokolunun əsas etibarilə etibarsız olduğunu proqnozlaşdırdı. Perlman saxtalaşdırma imkanlarını məhdudlaşdırmağa kömək edəcək kriptoqrafiyanın istifadəsini müdafiə etdi. Bununla belə, BGP-nin tətbiqi artıq tam sürətlə gedirdi, nüfuzlu İT icması buna öyrəşmişdi və heç nəyi dəyişmək istəmirdi. Buna görə də, Perlman, Clark və bəzi digər tanınmış dünya ekspertlərinin əsaslandırılmış xəbərdarlıqlarından sonra kriptoqrafik cəhətdən təhlükəsiz BGP marşrutlaşdırmasının nisbi payı ümumiyyətlə artmayıb və hələ də 0% təşkil edir. [8]

BGP marşrutu yeganə hack deyil

Və BGP marşrutlaşdırması “müvəqqəti həllərdən daha daimi heç nə yoxdur” fikrini təsdiqləyən yeganə sındırma deyil. Bəzən bizi fantaziya aləmlərinə qərq edən internet yarış avtomobili kimi zərif görünür. Ancaq reallıqda üst-üstə yığılan hacklər səbəbindən internet Ferraridən daha çox Frankenşteyn kimidir. Çünki bu hacklər (daha rəsmi olaraq yamalar adlanır) heç vaxt etibarlı texnologiya ilə əvəz olunmur. Bu yanaşmanın nəticələri ağırdır: kibercinayətkarlar hər gün və hər saat həssas sistemlərə müdaxilə edərək kibercinayətkarlığın əhatə dairəsini əvvəllər ağlasığmaz nisbətlərə qədər genişləndirirlər. [8]

Kibercinayətkarlar tərəfindən istifadə edilən çatışmazlıqların çoxu uzun müddətdir məlumdur və yalnız İT icmasının yaranan problemləri həll etmək meyli sayəsində qorunub saxlanılmışdır - müvəqqəti hacklər/yamalar. Bəzən buna görə də köhnəlmiş texnologiyalar uzun müddət üst-üstə yığılır, insanların həyatını çətinləşdirir və təhlükə qarşısında qoyur. Bankınızın anbarını saman və palçıqdan bünövrə üzərində qurduğunu bilsəniz, nə düşünərdiniz? Əmanətlərinizi saxlamaq üçün ona etibar edərdinizmi? [8]

Linus Torvaldsın qayğısız münasibəti

İnternet ilk yüz kompüterə çatana qədər illər keçdi. Bu gün ona saniyədə 100 yeni kompüter və digər qurğular qoşulur. İnternetə qoşulan qurğular partladıqca kibertəhlükəsizlik məsələlərinin aktuallığı da artır. Bununla belə, bu problemlərin həllinə ən çox təsir edə biləcək şəxs kibertəhlükəsizliyə laqeyd yanaşan şəxsdir. Bu adamı dahi, zorba, mənəvi lider və xeyirxah diktator adlandırıblar. Linus Torvalds. İnternetə qoşulan cihazların böyük əksəriyyəti onun əməliyyat sistemi olan Linux ilə işləyir. Sürətli, çevik, pulsuz - Linux zaman keçdikcə getdikcə populyarlaşır. Eyni zamanda, özünü çox sabit aparır. Və uzun illər yenidən başlamadan işləyə bilər. Buna görə Linux dominant əməliyyat sistemi olmaq şərəfinə malikdir. Bu gün əlimizdə olan demək olar ki, bütün kompüterləşdirilmiş avadanlıqlar Linux ilə işləyir: serverlər, tibbi avadanlıqlar, uçuş kompüterləri, kiçik dronlar, hərbi təyyarələr və daha çox. [9]

Torvalds performans və səhvlərə dözümlülüyünü vurğuladığı üçün Linux əsasən uğur qazanır. Lakin o, bu vurğunu kibertəhlükəsizliyin bahasına qoyur. Hətta kiberməkan və real fiziki dünya bir-birinə qarışsa və kibertəhlükəsizlik qlobal problemə çevrilsə belə, Torvalds əməliyyat sisteminə təhlükəsiz innovasiyaların tətbiqinə müqavimət göstərməkdə davam edir. [9]

Buna görə də, hətta bir çox Linux pərəstişkarları arasında bu əməliyyat sisteminin zəiflikləri ilə bağlı narahatlıq artır. Xüsusilə, Torvaldsın şəxsən üzərində işlədiyi Linux-un ən intim hissəsi, nüvəsi. Linux pərəstişkarları Torvaldsın kibertəhlükəsizlik məsələlərini ciddi qəbul etmədiyini görürlər. Üstəlik, Torvalds özünü bu qayğısız münasibəti bölüşən tərtibatçılarla əhatə etdi. Torvaldsın yaxın çevrəsindən kimsə təhlükəsiz yeniliklərin tətbiqi haqqında danışmağa başlasa, o, dərhal anatemiyaya məruz qalır. Torvalds belə yenilikçilərin bir qrupunu “mastürbasyon edən meymunlar” adlandıraraq işdən çıxardı. Torvalds başqa bir qrup təhlükəsizlik şüurlu tərtibatçılarla vidalaşarkən onlara dedi: “Özünüzü öldürəcək qədər xeyirxahlıq edərdinizmi? Onun sayəsində dünya daha yaxşı bir yer olardı”. Təhlükəsizlik funksiyalarının əlavə edilməsinə gəldikdə, Torvalds həmişə bunun əleyhinə idi. [9] Torvaldsın hətta bu mövzuda bütöv bir fəlsəfəsi var ki, bu da sağlam düşüncədən məhrum deyil:

“Mütləq təhlükəsizlik əldə edilə bilməz. Buna görə də, həmişə yalnız digər prioritetlərə münasibətdə nəzərə alınmalıdır: sürət, çeviklik və istifadə rahatlığı. Özlərini tamamilə qorunmağa həsr edən insanlar dəli olurlar. Onların düşüncəsi məhduddur, ağ-qaradır. Təhlükəsizlik öz-özünə faydasızdır. Mahiyyət həmişə başqa yerdədir. Buna görə də, həqiqətən istəsəniz belə, mütləq təhlükəsizliyi təmin edə bilməzsiniz. Təbii ki, Torvaldsdan daha çox təhlükəsizliyə diqqət yetirən insanlar var. Bununla belə, bu uşaqlar sadəcə olaraq onları maraqlandıran şeylər üzərində işləyirlər və bu maraqları müəyyən edən nisbi dar çərçivədə təhlükəsizliyi təmin edirlər. Artıq yox. Beləliklə, onlar heç bir şəkildə mütləq təhlükəsizliyin artırılmasına kömək etmirlər”. [9]

Yan panel: OpenSource toz çəlləyinə bənzəyir [10]

OpenSource kodu milyardlarla proqram təminatının hazırlanması xərclərinə qənaət edərək, təkrar səylərə ehtiyacı aradan qaldırdı: OpenSource ilə proqramçılar mövcud yeniliklərdən məhdudiyyət və ödəniş olmadan istifadə etmək imkanı əldə edirlər. OpenSource hər yerdə istifadə olunur. İxtisaslaşmış probleminizi sıfırdan həll etmək üçün bir proqram tərtibatçısı işə götürsəniz belə, bu tərtibatçı çox güman ki, bir növ OpenSource kitabxanasından istifadə edəcək. Və yəqin ki, birdən çox. Beləliklə, OpenSource elementləri demək olar ki, hər yerdə mövcuddur. Eyni zamanda başa düşmək lazımdır ki, heç bir proqram statik deyil, onun kodu daim dəyişir. Buna görə də, "onu təyin et və unut" prinsipi heç vaxt kod üçün işləmir. OpenSource kodu daxil olmaqla: gec-tez yenilənmiş versiya tələb olunacaq.

2016-cı ildə biz bu vəziyyətin nəticələrini gördük: 28 yaşlı tərtibatçı əvvəllər ictimaiyyətə açıqladığı OpenSource kodunu silməklə interneti qısa müddətə “sındırdı”. Bu hekayə bizim kiberinfrastrukturumuzun çox kövrək olduğunu göstərir. Bəzi insanlar - OpenSource layihələrini dəstəkləyənlər - onu saxlamaq üçün o qədər vacibdirlər ki, Allah göstərməsin, onları avtobus vursa, internet qırılacaq.

Saxlanması çətin olan kod ən ciddi kibertəhlükəsizlik zəifliklərinin gizləndiyi yerdir. Bəzi şirkətlər saxlanması çətin olan kodlara görə nə qədər həssas olduqlarını belə dərk etmirlər. Bu cür kodla əlaqəli zəifliklər çox yavaş real problemə çevrilə bilər: sistemlər çürümə prosesində görünən nasazlıqları nümayiş etdirmədən yavaş-yavaş çürüyür. Və uğursuz olduqda, nəticələr ölümcül olur.

Nəhayət, OpenSource layihələri adətən Linus Torvalds və ya məqalənin əvvəlində qeyd olunan Model Railroad Club-dan olan hakerlər kimi həvəskarlar birliyi tərəfindən hazırlandığından, saxlanılması çətin olan kodla bağlı problemləri ənənəvi üsullarla həll etmək mümkün deyil. kommersiya və hökumət rıçaqları). Çünki bu cür icmaların üzvləri iradəlidirlər və müstəqilliklərini hər şeydən üstün tuturlar.

Sidebar: Bəlkə kəşfiyyat xidmətləri və antivirus tərtibatçıları bizi qoruyacaq?

2013-cü ildə məlum oldu ki, Kaspersky Lab-da informasiya təhlükəsizliyi insidentləri ilə bağlı xüsusi araşdırmalar aparan xüsusi bölmə var. Son vaxtlara qədər bu idarəyə keçmiş polis mayoru, əvvəllər paytaxtın “K” (Moskva Baş Daxili İşlər İdarəsinin USTM) şöbəsində çalışmış Ruslan Stoyanov rəhbərlik edirdi. Kaspersky Lab-ın bu xüsusi bölməsinin bütün işçiləri hüquq-mühafizə orqanlarından, o cümlədən İstintaq Komitəsindən və “K” Direktorluğundan gəlirlər. [on bir]

2016-cı ilin sonunda FSB Ruslan Stoyanovu həbs edib və onu dövlətə xəyanətdə ittiham edib. Eyni halda, FSB CIB-nin (informasiya təhlükəsizliyi mərkəzi) yüksək vəzifəli nümayəndəsi Sergey Mixaylov həbs edildi, həbsdən əvvəl ölkənin bütün kibertəhlükəsizliyi ona bağlandı. [on bir]

Yan panel: Kibertəhlükəsizlik tətbiq edilir

Tezliklə rusiyalı sahibkarlar kibertəhlükəsizliyə ciddi diqqət yetirməyə məcbur olacaqlar. 2017-ci ilin yanvarında İnformasiyanın Mühafizəsi və Xüsusi Kommunikasiyalar Mərkəzinin nümayəndəsi Nikolay Muraşov bəyan edib ki, Rusiyada 2016-cı ildə təkcə CII obyektlərinə (kritik informasiya infrastrukturu) 70 milyondan çox hücum edilib. CII obyektlərinə dövlət orqanlarının informasiya sistemləri, müdafiə sənayesi müəssisələri, nəqliyyat, kredit və maliyyə sektorları, energetika, yanacaq və nüvə sənayesi daxildir. Onları qorumaq üçün iyulun 26-da Rusiya prezidenti Vladimir Putin “CII təhlükəsizliyi haqqında” qanunlar paketini imzalayıb. Qanunun qüvvəyə mindiyi 1-ci il yanvarın 2018-dək CII obyektlərinin sahibləri öz infrastrukturlarını haker hücumlarından qorumaq üçün bir sıra tədbirlər həyata keçirməli, xüsusən də GosSOPKA-ya qoşulmalıdırlar. [12]

Biblioqrafiya

1. Conatan Millet. IoT: Ağıllı Cihazlarınızın Təhlükəsizliyinin Önəmi // 2017.
2. Ross Anderson. Smart kart ödəniş sistemləri necə uğursuz olur // Qara Şapka. 2014.
3. SJ Murdoch. Çip və PİN pozulur // Təhlükəsizlik və Məxfilik üzrə IEEE Simpoziumunun materialları. 2010. səh. 433-446.
4. David Talbot. Kompüter Virusları Xəstəxanalardakı Tibbi Cihazlarda "Vurur" // MIT Texnologiya İcmalı (Rəqəmsal). 2012.
5. Kreyq Timberq. Təhlükəsizliyin Şəbəkəsi: Dizaynda Axın // The Washington Post. 2015.
6. Michael Lista. O, milyonlarını avtomobillərə, paltarlara və saatlara xərcləyən yeniyetmə bir haker idi - FTB onu tutana qədər // Toronto Həyatı. 2018.
7. Kreyq Timberq. Etibarsızlıq Şəbəkəsi: Öngörülən fəlakət - və nəzərə alınmayan // The Washington Post. 2015.
8. Kreyq Timberq. Sürətli “düzəliş”in uzun ömrü: 1989-cu ildən internet protokolu məlumatları qaçıranlar qarşısında həssas edir // The Washington Post. 2015.
9. Kreyq Timberq. Etibarsızlıq şəbəkəsi: Arqumentin nüvəsi // The Washington Post. 2015.
10. Joshua Gans. Açıq mənbə kodu Y2K qorxularımızı nəhayət gerçəkləşdirə bilərmi? // Harvard Business Review (Rəqəmsal). 2017.
11. Kaspersky-nin top meneceri FSB tərəfindən həbs edilib // CNews. 2017. URL.
12. Maria Kolomychenko. Kiberkəşfiyyat xidməti: Sberbank hakerlərlə mübarizə üçün qərargah yaratmağı təklif etdi // RBC. 2017.

Mənbə: www.habr.com